脆弱性情報アーカイブ | SFTPサーバーの Titan SFTP

秘密鍵を復元されるおそれがある PuTTY の脆弱性 (CVE-2024-31497)

PuTTY に ECDSA 秘密鍵の脆弱性 (CVE-2024-31497) が発見されましたが、Titan への影響と解決方法を教えてください。: Titan で作成したキーペアをご利用であれば影響はありません。
PuTTY および PuTTY を含むソフトウェアで作成した秘密鍵をご利用の場合、キーペアの速やかな交換を推奨します。

【PuTTY を含むクライアントソフト (FileZilla, WinSCP など) を使用する場合】

【Titan でホストキーを作成する場合】

他のクライアントソフトをご検討中の場合は、WebDrive のご利用を推奨します。

WebDrive は、Titan と同じ開発元で作成された、親和性が高いクライアントソフトです。

フリーソフトとの大きな違いとしては、脆弱性による影響を受けにくい点や、万が一脆弱性が発見された場合、アップデートによる速やかな修正が行われます。
例えば、Open SSL や Open SSH に脆弱性が発見された場合でも、Titan や WebDrive は影響を受けません。

また、Titan と WebDrive は PuTTY の Generator を使用していないため、Titan や WebDrive で作成したキーペアは CVE-2024-31497 による脆弱性が発生しません。

TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる OpenSSL の脆弱性 (CVE-2024-2511) が報告されていますが、Titan に影響はありますか。: ご安心ください。Titan は OpenSSL の脆弱性 (CVE-2024-2511) の影響を受けません。

ただし、古いバージョンではメモリパフォーマンスを悪化させる問題が確認されています。
『更新履歴』をご確認の上、古いバージョンをご利用されている場合は、最新バージョンへのアップデートを強く推奨いたします。

不正アクセス対策として、ログインに失敗したユーザー情報のみを収集できますか: ユーザーログイン試行失敗を条件に、カスタムログを生成するイベントと、生成したログを Eメール送信するイベントを作成してください。

はじめに、Titan に SMTP サーバーの情報を登録します。
前提条件として Eメールを送信するために SMTP サーバーの情報が必要です。
※フリーメールでは動作いたしませんのでご注意ください。

不正アクセス対策としてサーバーにアップロードされたファイルを把握したいのですが、ログでは情報が多すぎます。必要最小限の情報のみを確認できませんか？: イベントハンドラでカスタムログを生成することで要件を満たせます。

通常のログほどの情報を必要とせず、アップロードされたファイル名やユーザー名、IP アドレスなどの必要最小限の情報のみを確認されたい場合、ファイル受信をトリガーに必要な情報のみを含んだカスタムログを生成することで、目的の情報のみを確認できます。

以下に操作手順をご案内いたします。
サーバーの管理負担を軽減できますので、是非ご活用ください。

Terrapin Attack (CVE-2023-48795) による影響と対策を教えてください。: ご利用状況によっては SSH 接続の安全性が低下いたします。
詳しくは以下の内容をご参照ください。